Dynamiczny sql i problemy z nim związane - bezpieczeństwo baz danych
Metoda jest prosta. Opiera się na wiedzy, że to co wpisujemy w pola formularza jest tekstowo wstawiane do zapytań sqlowych.
Rozważmy następujący formularz:
Podaj login:
Podaj hasło:
Najprostszy skrypt, który obsługuje taki formularz miałby kawałek kodu w stylu:
$sql=select * from users where login = '$login' and password = '$password';
.
Służyłby on do zliczania liczby pasujących rekordów w bazie. Użytkownik jest wpuszczany, gdy liczba zwróconych rekordów jest większa od 0.
dalej